Microsoft - CVE-2026-21509
Date de publication :
Un défaut de contrôle des entrées dans Microsoft Office permet à un attaquant, en persuadant une victime d’ouvrir un fichier spécifiquement forgé, de contourner la politique de sécurité.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
La vulnérabilité exploitée est du type
CWE-807: Reliance on Untrusted Inputs in a Security Decision
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Aucune preuve de concept n’est disponible en sources ouvertes.
Systèmes ou composants affectés
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2024 for 64-bit editions
Microsoft Office LTSC 2024 for 32-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Contournement provisoire
Une mesure de contournement est proposée par Microsoft : de modifier le Registre Windows en suivant les étapes ci-dessous :
- Sauvegarder le Registre.
- Fermer toutes les applications Microsoft Office.
- Ouvrir l’Éditeur de Registre.
- Rechercher la sous-clé de Registre appropriée :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ pour Office MSI 64 bits ou Office MSI 32 bits sur Windows 32 bits
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ pour Office MSI 32 bits sur Windows 64 bits
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ pour Office Click-to-Run 64 bits ou Office Click-to-Run 32 bits sur Windows 32 bits
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ pour Office Click-to-Run 32 bits Windows 64 bits
- Ajouter une nouvelle sous-clé nommée {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B} en faisant clic droit sur le nœud de compatibilité COM, et en choisissant « Ajouter une clé ».
- Dans cette sous-clé, ajouter une nouvelle valeur en faisant une clic droit et en choisissant « Nouveau », puis « Valeur DWORD (32 bits) ».
- Ajouter une valeur hexadécimale de type REG_DWORD nommée « Indicateurs de compatibilité », avec la valeur 400.
- Fermer l’Éditeur de Registre et relancer l’application Office.
Solutions ou recommandations
Appliquer les correctifs suivants :
Microsoft Office 2016 (64-bit edition) : [KB5002713]
Microsoft Office 2016 (32-bit edition) : [KB5002713]
Microsoft Office LTSC 2024 for 64-bit editions : [Correctif]
Microsoft Office LTSC 2024 for 32-bit editions : [Correctif]
Microsoft Office LTSC 2021 for 32-bit editions : [Correctif]
Microsoft Office LTSC 2021 for 64-bit editions : [Correctif]
Microsoft 365 Apps for Enterprise for 64-bit Systems : [Correctif]
Microsoft 365 Apps for Enterprise for 32-bit Systems : [Correctif]
Microsoft Office 2019 for 64-bit editions : [Correctif]
Microsoft Office 2019 for 32-bit editions : [Correctif]
Des informations complémentaires sont disponibles dans le bulletin de Microsoft.